DOUBLEDROP

En ny attackkampanj med tre aldrig tidigare sett malwareverktyg har upptäckts av säkerhetsforskare. Verksamheten ägde rum i december 2020 och bestod av två distinkta aktivitetsvågor. Den använda infrastrukturen och skadliga hot visar att hotaktörerna har både erfarenhet och tillgång till tillräckliga resurser. Forskarna betecknade hackarna som UNC2529 medan de tre hotfulla stammarna kallades DOUBLEDRAG, DOUBLEDROP och DOUBLEBACK.

Attackkampanjen innebar spridning av phishing-e-postmeddelanden som var skräddarsydda för att matcha varje specifikt offer. De riktade enheterna kom från flera branschvertikaler - militär tillverkning, högteknologisk elektronik, medicin och bil. Medan de flesta befann sig i USA upptäcktes potentiella offer också i EMEA-regionen (Europa, Mellanöstern och Afrika), Asien och Australien. Bete-e-postmeddelandena var utformade för att se ut som om de skickas av en redovisningsansvarig som erbjuder tjänster relaterade till offrets verksamhet.

DOUBLEDROP-funktionaliteten

DOUBLEDROP-skadlig programvara fungerade som ett medelstegsverktyg som ansvarar för att hämta och köra den slutliga DOUBLEBACK-bakdörren till det komprometterade systemet. Den består av ett fördunklat PowerShell-skript som fungerar i minnet. Den levereras med två instanser av nästa stegs bakdörrverktyg med den som körs beror på om det infekterade systemet körs på en 32 eller 64-bitars arkitektur. Både DOUBLEDROP och DOUBLEBACK finns inte i offrets filsystem och serieras istället i registerdatabasen.